Projetar uma topologia de farm de extranet (Office SharePoint Server)

Atualizado em: 2009-04-23

Neste artigo:

• Sobre os ambientes de extranet

• Planejamento para ambientes de extranet

• Topologia de firewall de borda

• Topologia de perímetro back-to-back

• Topologia de perímetro back-to-back com publicação de conteúdo

• Topologia de perímetro back-to-back otimizada para hospedar conteúdo estático

• Topologia back-to-back dividida

Este artigo pode ser usado com o seguinte modelo: Topologias de Extranet para Produtos e Tecnologias do SharePoint (em inglês) (https://go.microsoft.com/fwlink/?linkid=73153\&clcid=0x416) (em inglês).

Sobre os ambientes de extranet

Um ambiente de extranet é uma rede privada estendida com segurança para compartilhar parte das informações ou processos da organização com funcionários remotos, parceiros externos ou clientes. Usando uma extranet, você pode compartilhar qualquer tipo de conteúdo hospedado pelo Microsoft Office SharePoint Server 2007, inclusive:

• Conteúdo informativo com identificação de marca.

• Conteúdo personalizado baseado em contas de usuários.

• Conteúdo colaborativo, incluindo documentos, listas, bibliotecas, calendários, blogs e wikis.

• Repositórios de documentos.

A tabela a seguir descreve os benefícios que a extranet oferece para cada grupo.

Funcionários remotos	Os funcionários remotos podem acessar informações corporativas e recursos eletrônicos em qualquer lugar, a qualquer hora, sem a necessidade de uma rede virtual privada (VPN). Os funcionários remotos são: Funcionários de vendas em viagem. Funcionários que trabalham de escritórios domésticos ou locais de clientes. Equipes virtuais dispersas geograficamente.
Parceiros externos	Os parceiros externos podem participar de processos comerciais e colaborar com os funcionários de sua organização. Você pode usar uma extranet para ajudar a melhorar a segurança dos dados das seguintes maneiras: Aplicar os componentes de segurança e interface de usuário apropriados para isolar os parceiros e segregar os dados internos. Autorizar os parceiros a usar somente os sites e dados necessários para suas contribuições. Restringir os parceiros para que não visualizem os dados de outros parceiros. Você pode otimizar os processos e sites para colaboração de parceiros das seguintes maneiras: Permitir que os funcionários de sua organização e os funcionários dos parceiros exibam, alterem, adicionem e excluam o conteúdo para promover resultados bem-sucedidos para ambas as empresas. Configurar alertas para notificar os usuários quando o conteúdo for alterado ou para iniciar um fluxo de trabalho.
Clientes	Publique conteúdo direcionado com identificação de marca para parceiros e clientes das seguintes formas: Direcione o conteúdo com base em linha de produto ou por perfil de cliente. Separe o conteúdo em segmentos implementando conjuntos de sites separados em um farm. Limite o acesso ao conteúdo e os resultados da pesquisa com base no público-alvo.

O Office SharePoint Server 2007 oferece opções flexíveis para configurar o acesso extranet a sites. Você pode fornecer acesso à Internet a um subconjunto de sites de um farm de servidores ou tornar todo o conteúdo de um farm de servidores acessível na Internet. Você pode hospedar conteúdo da extranet na sua rede corporativa e disponibilizá-lo por meio de um firewall ou isolar o farm de servidores na rede de perímetro.

Planejamento para ambientes de extranet

O restante deste artigo trata de topologias de extranet específicas que foram testadas com o Office SharePoint Server 2007. As topologias tratadas podem ajudá-lo a entender as opções disponíveis com o Office SharePoint Server 2007, incluindo requisitos e concessões.

As seções a seguir destacam atividades de planejamento adicionais para um ambiente de extranet.

Planejar a tecnologia de ponta de rede

Em cada topologia, a tecnologia de ponta de rede ilustrada é um ou os dois produtos do conjunto de produtos Microsoft Forefront Edge: Microsoft Internet Security and Acceleration (ISA) Server e Intelligent Application Gateway (IAG) 2007. Para obter mais informações sobre os produtos Microsoft Forefront Edge, consulte os seguintes recursos:

• Home page do ISA Server (em inglês) (https://go.microsoft.com/fwlink/?linkid=86495\&clcid=0x416) (em inglês)

• Conceitos de rede no ISA Server 2006 (em inglês) (https://go.microsoft.com/fwlink/?linkid=86497\&clcid=0x416) (em inglês)

• Home page do Intelligent Application Gateway

• Biblioteca técnica do Intelligent Application Gateway 2007 (em inglês)

O IAG Server oferece esses recursos adicionais:

• Prevenção contra vazamento de informações: nenhum resíduo é deixado no computador cliente e todo o cache, os arquivos temporários e os cookies são excluídos.

• Autorização de ponto de extremidade baseada na saúde: os administradores podem definir uma diretiva de acesso que seja baseada não apenas na identidade do usuário e nas informações que são expostas, mas também na condição do computador cliente.

• Acesso a sites do SharePoint do Outlook Web Access: os usuários podem acessar sites do SharePoint de links enviados em email por meio do Outlook Web Access. O IAG fornece a conversão de links para links que levam a URLs internas.

• Portal unificado: ao fazer logon, o IAG apresenta a cada usuário a lista de sites do SharePoint e outros aplicativos que estão disponíveis e autorizados para esse usuário.

A seguinte tabela resume a diferença entre os servidores.

Recurso	ISA 2006	IAG 2007
Publicar aplicativos Web usando HTTPS	X	X
Publicar aplicativos móveis internos em dispositivos móveis em roaming	X	X
Firewall de camada 3	X	X*
Suporte a cenários de saída	X	X*
Suporte a matriz	X
Localização do console de globalização e administração	X
Assistentes e configurações predefinidas para publicar sites do SharePoint e do Exchange	X	X
Assistentes e configurações predefinidas para publicar vários aplicativos		X
Suporte ao ADFS (Serviços de Federação do Active Directory)		X
Autenticação rica (por exemplo, senha de uma única vez, baseada em formulários, cartão inteligente)	X	X
Proteção de aplicativo (firewall de aplicativo Web)	Básica	Total
Detecção da saúde do ponto de extremidade		X
Prevenção contra vazamento de informações		X
Diretiva de acesso granular		X
Portal unificado		X

* Com suporte do ISA, que está incluído com o IAG 2007.

Planejar-se para autenticação e arquitetura lógica

Além de escolher ou criar uma topologia de extranet, você precisará criar uma estratégia de autenticação e uma arquitetura lógica para habilitar o acesso de usuários pretendidos fora da rede interna e proteger sites e conteúdo no farm de servidores. Para obter mais informações, consulte os seguintes recursos:

• Planejar a autenticação (Office SharePoint Server)

• Modelo de arquitetura lógica: implantação corporativa

Planejar relações de confiança de domínio

Quando o farm de servidores está localizado em uma rede de perímetro, essa rede exige sua própria infraestrutura e domínio do serviço de diretório Active Directory. Geralmente, um domínio de perímetro e um domínio corporativo não são configurados para confiar um no outro. No entanto, há vários cenários nos quais uma relação de confiança pode ser necessária. A tabela abaixo resume os cenários que afetam os requisitos de uma relação de confiança.

Cenário	Descrição
Autenticação do Windows	Se o domínio de perímetro confiar no domínio de rede corporativo, você poderá autenticar tanto funcionários internos quanto remotos usando suas credenciais de domínio corporativas. Para obter informações sobre como projetar uma estratégia de autenticação e uma arquitetura lógica para este cenário, consulte Modelo de arquitetura lógica: implantação corporativa.
Autenticação de formulários e logon único da Web (SSO)	Você pode usar autenticação de formulários e Web SSO para autenticar tanto funcionários internos quanto remotos em um ambiente do Active Directory interno. Por exemplo, é possível usar o Web SSO para se conectar aos Serviços de Federação do Active Directory (ADFS). O uso da autenticação de formulários ou do Web SSO não exige uma relação de confiança entre os domínios. Entretanto, vários recursos do Office SharePoint Server 2007 podem não estar disponíveis, dependendo do provedor de autenticação. Para obter mais informações sobre os recursos que podem ser afetados ao usar a autenticação de formulários ou o Web SSO, consulte Planejar as configurações de autenticação de aplicativos Web no Office SharePoint Server.
Publicação de conteúdo	Uma relação de confiança entre domínios não é necessária para publicar conteúdo de um domínio para outro. Para evitar um requisito para uma relação de confiança, assegure-se de usar a conta adequada para publicar conteúdo. Para obter mais informações, consulte o tópico sobre reforço de publicação do conteúdo em Planejar proteção da segurança para ambientes de extranet.

Para obter mais informações sobre como configurar uma relação de confiança unidirecional em um ambiente de extranet, consulte Planejar proteção da segurança para ambientes de extranet.

Planejar-se para a disponibilidade

As topologias de extranet descritas neste artigo servem para ilustrar:

• Onde um farm de servidores está localizado em uma rede geral.

• Onde cada uma das funções de servidor está localizada em um ambiente de extranet.

O objetivo deste artigo não é ajudá-lo a planejar quais funções de servidor é necessário implantar ou quantos servidores para cada função é necessário implantar para garantir redundância. Após determinar quantos farms de servidores são necessários em seu ambiente, planeje a topologia de cada farm de servidores consultando Planejar-se para redundância (Office SharePoint Server).

Planejar-se para proteção da segurança

Após projetar sua topologia de extranet, use os seguintes recursos para se planejar para proteção da segurança:

• Planejar configuração de segurança para funções de servidor em um farm de servidores (Office SharePoint Server)

• Planejar proteção da segurança para ambientes de extranet

Topologia de firewall de borda

Esta configuração usa um servidor proxy reverso na borda entre a Internet e a rede corporativa para interceptar e encaminhar solicitações feitas ao servidor Web apropriado na intranet. Usando um conjunto de regras configuráveis, o servidor proxy verifica se os URLs solicitados têm permissão com base na zona de origem da solicitação. Os URLs solicitados são convertidos para URLs internos. A ilustração a seguir mostra uma topologia de firewall de borda.

Vantagens

• Solução mais simples que exige o mínimo em hardware e configuração.

• Todo o farm de servidores está localizado na rede corporativa.

• Único ponto de dados:

  • Os dados estão localizados na rede confiável.

  • A manutenção dos dados ocorre em um único local.

  • O uso de um único farm para solicitações internas e externas garante que todos os usuários autorizados exibam o mesmo conteúdo.

• As solicitações de usuários internas não são passadas por um servidor proxy.

Desvantagens

• Resultados em um único firewall que separa a rede interna corporativa da Internet.

Topologia de perímetro back-to-back

Uma topologia de perímetro back-to-back isola o farm de servidores em uma rede de perímetro separada, conforme mostra a ilustração a seguir.

Essa topologia tem as seguintes características:

• Todos os dados e hardware residem na rede de perímetro.

• As funções de farm de servidores e servidores de infraestrutura de rede podem ser separadas em várias camadas. Combinar as camadas de rede pode reduzir a complexidade e o custo.

• Cada camada pode ser separada por roteadores ou firewalls adicionais para garantir que sejam permitidas somente as solicitações de camadas específicas.

• As solicitações da rede interna podem ser direcionadas através do servidor ISA interno ou roteadas através da interface pública da rede de perímetro.

A ilustração mostra todas funções de servidor de aplicativo localizadas na Camada 2 como servidores dedicados. Em uma implantação real, várias funções de servidor de aplicativos podem residir em um único servidor de aplicativo. Além disso, alguns farms são melhor otimizados implantando-se a função de consulta nos servidores Web da Camada 1 em vez de nos servidores de aplicativos da Camada 2.

Vantagens

• O conteúdo é isolado a um único farm na extranet, simplificando o compartilhamento e a manutenção do conteúdo na intranet e extranet.

• O acesso de usuários externos é isolado à rede de perímetro.

• Se a extranet ficar comprometida, os danos serão possivelmente limitados à camada atingida ou à rede de perímetro.

• Usando uma infraestrutura separada do Active Directory, as contas de usuários externos podem ser criadas sem prejudicar o diretório corporativo interno.

Desvantagens

• Requer configuração e infraestrutura de rede adicionais.

Topologia de perímetro back-to-back com publicação de conteúdo

Esta topologia adiciona publicação de conteúdo à topologia de perímetro back-to-back. Ao adicionar publicação de conteúdo, os sites e os conteúdos desenvolvidos dentro da rede corporativa podem ser publicados no farm de servidores localizado na rede de perímetro.

A seguinte ilustração mostra a topologia de perímetro back-to-back com publicação de conteúdo.

Note as seguintes características desta topologia:

• Requer dois farms separados — um na rede corporativa e outro na rede de perímetro.

• A publicação tem uma via. Todo e qualquer conteúdo criado ou modificado na rede de perímetro é exclusivo.

A ilustração mostra o caminho da implantação de conteúdo do site da Administração Central no farm temporário de conteúdo para o site da Administração Central no farm de destino. Geralmente, o site da Administração Central é instalado em um dos servidores de aplicativos. A ilustração chama separadamente o site da Administração Central para mostrar a função deste site na implantação de conteúdo.

Vantagens

• Isola conteúdo de cliente e parceiro em uma rede de perímetro separada.

• A publicação de conteúdo pode ser automatizada.

• Se o conteúdo da rede de perímetro estiver comprometido ou danificado em razão do acesso à Internet, a integridade do conteúdo da rede corporativa é mantida.

Desvantagens

• Requer mais hardware para manter dois farms separados.

• A sobrecarga de dados é maior. O conteúdo é mantido e coordenado em dois farms e redes diferentes.

• As alterações no conteúdo da rede de perímetro não são refletidas na rede corporativa. Consequentemente, a publicação de conteúdo no domínio de perímetro não é uma opção funcional para sites de extranet colaborativos.

Topologia de perímetro back-to-back otimizada para hospedar conteúdo estático

Em ambientes nos quais o conteúdo é estático, ou na maior parte estático, você pode otimizar o desempenho implementando os recursos de cache do IAG 2007 ou do ISA Server 2006. O cache do ISA ou do IAG pode ser configurado além dos recursos de armazenamento em cache do Office SharePoint Server 2007.

O ISA Server oferece os dois tipos de armazenamento em cache a seguir:

• Armazenamento em cache encaminhado   O armazenamento em cache encaminhado fornece objetos da Web armazenados em cache para usuários internos que fazem solicitações de Web para a Internet.

• Armazenamento em cache reverso   O armazenamento em cache reverso fornece conteúdo armazenado em cache para clientes da Internet externos que fazem solicitações para servidores Web internos publicados pelo ISA Server.

Para obter mais informações sobre o armazenamento em cache do ISA, consulte o artigo sobre armazenamento em cache e CARP no ISA Server 2006 (em inglês) (https://go.microsoft.com/fwlink/?linkid=86531\&clcid=0x416) (em inglês).

Use armazenamento em cache do ISA ou do IAG além do armazenamento em cache do Office SharePoint Server 2007 somente se os seguintes itens forem verdadeiros:

• O conteúdo é estático. A substituição pós-cache, na qual partes de uma página não são armazenadas em cache, não é usado. As URLs não são modificadas.

• O conteúdo é 100% anônimo.

O armazenamento em cache do ISA ou do IAG permite que você ultrapasse os limites de um único farm melhorando o desempenho onde os servidores Web apresentam gargalos. Isso permite que você melhor o desempenho quando o número máximo de servidores Web é atingido ou reduza o número de servidores Web necessários.

A ilustração a seguir mostra vários servidores ISA ou IAG usados para armazenar o conteúdo em cache.

A ilustração mostra as seguintes opções:

• A função de consulta está instalada nos servidores Web.

• O site da Administração Central está instalado no servidor de indexação.

Vantagens

• Melhora muito o desempenho ao hospedar conteúdo estático ou quase estático.

• Reduz o número de solicitações a servidores Web e servidores de bancos de dados.

• Fornece um método para dimensionar a solução de extranet.

Desvantagens

• O armazenamento em cache do ISA pode reduzir o desempenho geral em ambientes com conteúdo dinâmico ou que muda com frequência.

Topologia back-to-back dividida

Esta topologia divide o farm entre as redes de perímetro e corporativa. Os computadores que executam o software de banco de dados Microsoft SQL Server são hospedados na rede corporativa. Os servidores Web estão localizados na rede de perímetro. Os computadores do servidor de aplicativos podem ser hospedados na rede de perímetro ou na rede corporativa.

Na ilustração anterior:

• Os servidores de aplicativos são hospedados na rede de perímetro. Esta opção é ilustrada por servidores azuis dentro da linha tracejada.

• Os servidores de aplicativos podem ser implantados opcionalmente na rede corporativa, com servidores de banco de dados. Esta opção é ilustrada pelos servidores em cinza dentro da linha tracejada. Se você implantar servidores de aplicativos dentro da rede corporativa com servidores de banco de dados, deverá ter também uma ambiente do Active Directory para dar suporte a esses servidores (ilustrado como servidores em cinza na rede corporativa).

Se o farm de servidores for dividido entre a rede de perímetro e a rede corporativa com os servidores de banco de dados localizados nesta última, será necessária uma relação de confiança de domínio se as contas do Windows forem usadas para acessar o SQL Server. Nessa situação, o domínio de perímetro precisa confiar no domínio corporativo. Se for usada a autenticação SQL, será necessária uma relação de confiança de domínio. Para obter mais informações sobre configuração de contas para essa topologia, consulte o tópico sobre relações de confiança de domínio no seguinte artigo: Planejar proteção da segurança para ambientes de extranet.

Para otimizar o desempenho da pesquisa e do rastreamento, coloque os servidores de aplicativos na rede corporativa com os servidores de banco de dados. Você também pode adicionar a função de servidor Web ao servidor de indexação à rede corporativa e configurar esse servidor Web para uso dedicado pelo servidor de indexação para rastreamento de conteúdo. No entanto, não adicione a função de consulta ao servidor de indexação se ela também estiver localizada em outros servidores do farm. Se você colocar servidores Web na rede de perímetro e servidores de aplicativos na rede corporativa, deverá configurar uma relação de confiança de uma via na qual o domínio da rede de perímetro confie no domínio da rede corporativa. Essa relação de confiança de uma via é necessária neste cenário para dar suporte à comunicação entre servidores do farm, não importando se você está usando autenticação do Windows ou autenticação SQL para acessar o SQL Server.

Você pode colocar um ou mais servidores Web na rede corporativa para servir solicitações internas. Isso resulta na divisão dos servidores Web entre a rede de perímetro e a rede corporativa. Se fizer isso, verifique se o tráfego da Internet está com carga balanceada para os servidores Web na rede de perímetro e se o tráfego da rede corporativa está com carga balanceada de maneira independente para os servidores Web na rede corporativa. Também é necessário configurar diferentes zonas de mapeamento de acesso alternativo e regras de publicação de firewall para cada segmento de rede.

Se você planeja publicar conteúdo de um farm de preparo da rede corporativa em servidores de banco de dados que hospedam conteúdo da extranet (também localizados na rede corporativa), pode otimizar o farm hospedando os servidores de aplicativos, inclusive o site da Administração Central, na rede corporativa, pelos seguintes motivos:

• O fluxo de dados para viagens de publicação de conteúdo do site de Administração Central no farm de preparo para o site de Administração Central do farm de destino. Se o site de Administração Central estiver na rede corporativa, o fluxo de dados de publicação de conteúdo não viaja pelo firewall entre a rede de perímetro e a rede corporativa. Por outro lado, se o site da Administração Central estiver dentro da rede de perímetro, o fluxo de dados atravessará o firewall em ambas as direções antes de chegar aos bancos de dados de conteúdo do farm de destino.

• A indexação acontece dentro da rede corporativa.

A ilustração a seguir mostra um ambiente de topologia back-to-back dividido otimizado para publicação de conteúdo.

A ilustração mostra as seguintes opções:

• A função de consulta está instalada nos servidores Web da rede de perímetro.

• Os servidores de aplicativos residem na rede corporativa com os servidores de banco de dados. Isso requer uma relação de confiança de uma via na qual o domínio do perímetro confia no domínio corporativo.

• O site da Administração Central do farm de produção está instalado no servidor de indexação.

• A função de servidor Web está instalada no servidor de indexação e é dedicada a rastrear conteúdo.

Vantagens

• Computadores que executam o SQL Server não são hospedados na rede de perímetro.

• Componentes do farm tanto na rede corporativa quanto na rede de perímetro podem compartilhar os mesmos bancos de dados.

• O conteúdo pode ser isolado em um único farm na rede corporativa, o que simplifica o compartilhamento e a manutenção do conteúdo na rede corporativa e na rede de perímetro.

• Com uma infraestrutura separada do Active Directory, contas de usuário externas podem ser criadas sem afetar o diretório corporativo interno.

Desvantagens

• Complexidade da solução aumenta consideravelmente.

• Intrusos que comprometem os recursos da rede de perímetro podem obter acesso ao conteúdo do farm armazenado na rede corporativa usando as contas do farm de servidores.

• A comunicação entre farms em geral é dividida entre dois domínios.

Baixar este manual

Para facilitar a leitura e a impressão, este tópico está incluído no seguinte manual que pode ser baixado:

• Planejamento de um ambiente de Extranet para o Office SharePoint Server (em inglês)

Consulte a lista completa de manuais disponíveis na página de download de conteúdo do Office SharePoint Server 2007.